チャブーンです。
#内容を修正しました...信頼する・されるの表現が逆だったようです
この件ですが、まず前提条件として、セキュリティグループの「種類」に注意いただく必要があります。信頼先ドメインから「アクセス許可」をリソースに設定するにはグローバルグループが前提ですが、グループのメンバーを設定する場合はドメインローカルグループが対象です。グローバルグループは他ドメインをメンバーにすることはできません。
Active Directory セキュリティ グループ | Microsoft Learn
実際に検証して確認しました。
一方向の信頼の場合、信頼される=出力方向の信頼がリソースドメイン、信頼する=入力方向の信頼がアカウントドメイン、という扱いです(信頼する=されるが逆になっていました)。この場合は、リソースドメインのリソースに対して、アカウントドメインのアカウントやグループをアクセス許可に設定できます。
これの意味するところは、リソースドメイン側からアカウントドメインの「アカウントが見える」ようになるということかと思います。
ですが、ここで注意点があります。ドメインローカルグループは、他ドメインのアカウントをメンバーにすることができます。ですが、対象はアカウントとグローバルグループ(ユニバーサルもできます)だけになります。他ドメインのドメインローカルグループはメンバーにすることはできません。アクセス許可に関しては、別ドメインのグローバルグループであれば設定することができます(ユニバーサルもできます)。ドメインローカルは設定できません。
したがって結果論として、リソースドメインのドメインローカルグループに対して、アカウントドメインのアカウント・グローバルグループをメンバーにできます。
なお、念のためですが、これはアカウントドメインの管理者アカウントがリソースドメインの管理者権限を自動的に持つ、という意味にはならないので、注意してください。リソースドメインの管理者アカウントが、自身のドメインローカル or ビルトイングループ (Administrators等) のメンバーにアカウントドメインの管理者アカウント or 管理者グループをメンバーとして追加すると、初めて可能になる動作、という理解です。